Ueli AI ChatbotUeliAI Chatbot
Hinweis Beta-Phase: Diese Plattform befindet sich im Beta-Stadium. Die nachfolgenden rechtlichen Texte sind Templates und ersetzen keine anwaltliche Prüfung. Vor kommerzieller Nutzung empfehlen wir die Freigabe durch eine/n Schweizer Datenschutz-Anwält/in.

Datenschutzerklärung

Gültig ab 2026-05-31 · Stand 1.0 · Beta · Massgebend ist das Schweizer Datenschutzgesetz (revDSG, in Kraft seit 1. September 2023).

1. Verantwortliche Stelle

Verantwortlich im Sinne von Art. 5 lit. j revDSG ist:

Ueli Iff
Anschrift auf Anfrage, Schweiz
E-Mail: [email protected]

Für Datenschutzanfragen verwenden Sie bitte denselben Kontakt mit dem Betreff «Datenschutz». Sie können Ihr Auskunfts- und Löschungsrecht jederzeit auch direkt im eingeloggten Bereich unter «Mein Konto» ausüben.

2. Überblick

Wir verarbeiten personenbezogene Daten nur soweit nötig, um den Dienst zur Verfügung zu stellen. Konkret:

  • Kein Werbe-Tracking, keine externen Tracker. Wir setzen keine Cookies von Google, Meta, LinkedIn oder ähnlichen Anbietern. Nur technisch notwendige Sitzungs-Cookies.
  • KI-Modelle laufen auf eigener Schweizer Infrastruktur. Ihre Eingaben werden nicht an OpenAI, Anthropic oder andere Drittanbieter gesendet, ausser Sie aktivieren dies ausdrücklich in den Mandanten-Einstellungen.
  • Hosting in der Schweiz. Sämtliche Inhaltsdaten liegen auf Servern in der Schweiz.
  • Strikte Mandantenisolation. Auf Datenbank-Ebene ist sichergestellt, dass kein Mandant Daten anderer Mandanten einsehen kann (Row-Level-Security).

3. Welche Daten wir bearbeiten

3.1 Beim Besuch der Website (ohne Anmeldung)

Beim Aufruf der Plattform werden vom Webserver folgende Daten automatisch in Logfiles erfasst:

  • IP-Adresse (gekürzt nach 24h, vollständig gelöscht nach 30 Tagen)
  • Datum und Uhrzeit der Anfrage
  • Aufgerufene URL und HTTP-Statuscode
  • Übertragene Datenmenge
  • Referrer (vorherige Seite)
  • User-Agent (Browser, Betriebssystem)

Rechtsgrundlage: Art. 31 Abs. 1 lit. d revDSG (überwiegendes Interesse an Betriebssicherheit und Missbrauchsabwehr). Aufbewahrungsdauer: 30 Tage, danach automatische Löschung.

3.2 Bei der Anmeldung (Konto)

Für die Anmeldung verwenden wir ein selbst betriebenes Identitäts- Management auf eigener Infrastruktur. Bearbeitet werden:

  • E-Mail-Adresse (Pflicht)
  • Vor- und Nachname (optional)
  • Verschlüsselt gespeichertes Passwort (nach Industriestandard, mit individuellem Salt)
  • Zugewiesene Rollen und Mandantenmitgliedschaften
  • Letzter Login-Zeitpunkt (für Sicherheitsabfragen)
  • Optional: zweiter Faktor (2FA), falls aktiviert

Rechtsgrundlage: Art. 31 Abs. 1 revDSG (Vertragserfüllung). Aufbewahrungsdauer: bis zur Löschung des Kontos durch Sie oder durch uns nach 24 Monaten Inaktivität.

3.3 Bei der Nutzung des Chatbots

  • Ihre Fragen und die KI-Antworten — gespeichert pro Sitzung, damit Sie im Verlauf zurückblättern können.
  • Hochgeladene Dokumente (PDF, DOCX, XLSX, CSV, TXT) — gespeichert im verschlüsselten Objekt-Speicher auf eigener Infrastruktur in der Schweiz.
  • Indizes und mathematische Repräsentationen Ihrer Dokumente — für die schnelle Suche, gespeichert in unserer eigenen Datenbank.
  • Audit-Log — pseudonymisierte Zugriffe auf Dokumente (revDSG Art. 12 — Verzeichnis der Bearbeitungstätigkeiten).

Rechtsgrundlage: Art. 31 Abs. 1 revDSG (Vertragserfüllung). Aufbewahrungsdauer: solange das Konto besteht; auf Wunsch lösch- und exportierbar (siehe Abschnitt 8).

3.4 Bei der Kontaktaufnahme

Wenn Sie uns per E-Mail kontaktieren, bearbeiten wir die übermittelten Daten (E-Mail-Adresse, Inhalt, ggf. weitere Personendaten) zur Bearbeitung Ihrer Anfrage.

Aufbewahrungsdauer: 36 Monate ab letztem Kontakt, danach Löschung oder Anonymisierung.

4. Cookies

Wir verwenden ausschliesslich technisch notwendige Cookies, die für den Betrieb und die Sicherheit der Plattform erforderlich sind:

  • Sitzungs-Cookie — Ihre Anmeldung (HttpOnly, Secure, SameSite=Lax, Ablauf 30 Tage)
  • Identitäts-Cookies — verwaltet die aktive Anmeldesitzung (HttpOnly, Secure)
  • Sprach-Cookie — gewählte Sprache
  • Theme-Cookie — gewähltes Farbschema (Hell/Dunkel)

Eine separate Einwilligung ist für diese Cookies nach Schweizer Recht nicht erforderlich, da sie zur Erbringung des vom Nutzer ausdrücklich gewünschten Dienstes unbedingt erforderlich sind.

Wir verwenden keine Tracking-Cookies, Analytics- Cookies oder Werbe-Cookies von Dritten.

5. KI-Bearbeitung Ihrer Inhalte

Die Plattform nutzt KI-Sprachmodelle, um Ihre Fragen auf Grundlage der von Ihnen bereitgestellten Dokumente zu beantworten. Standardmässig laufen alle Modelle auf unserer eigenen Infrastruktur in der Schweiz ohne Übermittlung an Drittanbieter. Es werden ausschliesslich Modelle eingesetzt, die nicht auf Nutzer-Eingaben trainiert werden.

Ihre Eingaben verlassen unsere Server nicht. Modell-Logs werden höchstens 7 Tage zur Fehleranalyse gespeichert und danach gelöscht (pseudonymisiert, ohne Klartext-Inhalt).

Optionale Drittanbieter: Mandanten-Administratoren können in den Mandanten-Einstellungen optional kommerzielle Anbieter freischalten. In diesem Fall werden Eingaben an diese Anbieter übermittelt; die jeweiligen Datenschutzbedingungen gelten zusätzlich. Diese Option ist standardmässig deaktiviert.

6. Empfänger der Daten

Daten werden nur an folgende Empfänger weitergegeben:

6.1 Auftragsbearbeiter

  • Schweizer Hosting-Anbieter — Hosting (Server, Datenbank, Object-Storage, KI-Modelle) in einem zertifizierten Rechenzentrum in der Schweiz. Auftragsbearbeitungsvertrag (AVV) nach Art. 9 revDSG geschlossen.
  • Cloudflare Inc., San Francisco (US) — DNS, CDN, DDoS-Schutz. Eine Übermittlung in die USA findet ausschliesslich für Netzwerk-Metadaten (IP-Adresse, Request-Header, Routing-Metadaten — keine Inhaltsdaten) statt, auf Grundlage der Schweizer Standardvertragsklauseln und Cloudflares Schweiz-/EU-Adäquanz-Selbstzertifizierung.

6.2 Behörden

Wir geben Daten an Behörden nur weiter, wenn wir gesetzlich dazu verpflichtet sind (z. B. Strafprozessordnung CH, GwG, Auskunftspflicht gegenüber Steuerbehörden, gerichtliche Editionsverfügung). Wir prüfen jede Anfrage einzeln und informieren die betroffene Person, soweit dies rechtlich zulässig ist.

6.3 Bei einem Verkauf des Unternehmens

Sollte die Plattform an einen Dritten verkauft oder mit einem Dritten zusammengeführt werden, würden Personendaten Teil der übertragenen Aktiva. Sie werden rechtzeitig informiert und können der Übertragung widersprechen.

7. Bekanntgabe ins Ausland

Eine Bekanntgabe von Personendaten ins Ausland erfolgt nur an:

  • Cloudflare (USA) — Grundlage: Schweizer Standardvertragsklauseln (Art. 16 ff. revDSG), beschränkt auf Netzwerk-Metadaten.

Inhaltsdaten (Dokumente, Chat-Verlauf, KI-Antworten) werden nicht ins Ausland übermittelt.

8. Ihre Rechte nach revDSG

Sie haben jederzeit das Recht auf:

  • Auskunft (Art. 25 revDSG) über die zu Ihrer Person gespeicherten Daten. Selbstbedienung: Mein Konto → Daten exportieren liefert eine ZIP-Datei mit allen über Sie gespeicherten Daten.
  • Berichtigung unrichtiger Daten (Art. 32 Abs. 1 revDSG)
  • Löschung Ihrer Daten (Art. 32 Abs. 2 revDSG) — ausser zwingende gesetzliche Aufbewahrungspflichten stehen entgegen. Selbstbedienung: Mein Konto → Konto löschen. Es gilt eine 30-tägige Karenzfrist, in der Sie die Löschung widerrufen können.
  • Einschränkung der Bearbeitung — auf Anfrage per E-Mail.
  • Datenherausgabe in einem gängigen elektronischen Format (Art. 28 revDSG).
  • Widerspruch gegen Bearbeitungen auf Grundlage überwiegender Interessen.
  • Beschwerde beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDOEB), edoeb.admin.ch.

9. Datensicherheit

  • Transport-Verschlüsselung sämtlicher Verbindungen (HTTPS only) nach Industriestandard
  • HSTS-Header mit einem Jahr Geltungsdauer
  • Strikte Mandanten-Isolation auf Datenbank-Ebene (Row-Level-Security)
  • Passwörter verschlüsselt gespeichert mit individuellem Salt
  • Token-basierte Anmeldung mit kurzlebigen Access-Tokens (1 Stunde Gültigkeit)
  • Audit-Log aller lesenden und schreibenden Zugriffe auf Dokumente
  • Tägliche verschlüsselte Off-Site-Backups auf separater Hardware
  • Rate-Limiting auf allen API-Endpunkten
  • Server-Härtung: SSH-Schlüssel only, Firewall, regelmässige Sicherheits-Updates

Detaillierte technische Sicherheitsdokumentation stellen wir Geschäftskunden auf Anfrage unter NDA zur Verfügung.

10. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, etwa bei Gesetzesänderungen oder bei Änderungen der Bearbeitung. Die jeweils aktuelle Version ist unter dieser URL abrufbar. Wesentliche Änderungen kommunizieren wir registrierten Nutzerinnen und Nutzern mindestens 14 Tage im Voraus per E-Mail.

11. Übersicht der Rechtsgrundlagen

BearbeitungRechtsgrundlage (revDSG)
Konto-Verwaltung, Chat-NutzungArt. 31 Abs. 1 (Vertragserfüllung)
Server-Logs, SicherheitArt. 31 Abs. 1 lit. d (überwiegendes Interesse)
Kontaktaufnahme per E-MailArt. 31 Abs. 1 (Vertragserfüllung / berechtigtes Interesse)
Drittanbieter-LLMs (optional, Opt-in)Art. 6 revDSG (Einwilligung)